从软件源代码看网络安全 中科天齐创始人李炼做客北京城市广播

8月8日，北京人民广播电台北京城市广播（FM107.3）邀请中科院百人计划研究员、中科天齐创始人李炼做客职场帮帮团栏目。期间，电台著名主持人李湘麓对话李炼，为听众带来一场关于网络安全和代码安全领域生动有趣的科普盛宴。

李炼，中科院计算所百人计划研究员、博士生导师，中科天齐创始人，多年以来一直从事程序分析和软件安全测试方向的研究，在该方向做出了具有世界影响力的成果。

90%以上的网络安全事件由于软件安全漏洞所导致

网络安全以及信息安全与我们生活息息相关，李炼为我们举例了2个著名网络安全事件，一是发生在2010年6月的震网病毒，作为世界上首个网络“超级破坏性武器”，震网的计算机病毒感染了全球超过 45000个网络，伊朗遭到的攻击最为严重，核电站关键设施遭到攻击，60%的个人电脑感染了这种病毒。黑客们利用windows桌面以及工控机里的缓冲区域漏洞来劫持了整个系统，运行了恶意的代码，导致整个系统崩溃。另一个是心血漏洞，通过缓冲区溢出漏洞来获得敏感数据，例如用户名和密码等。这个漏洞当时感染了上百万个公共网站，3万台服务器受到其影响。引起了非常大的恐慌，反映到我们个人来说，就是一些隐私数据存在被泄露的风险。90%以上的网络安全事件实际上是由于我们软件里面的安全漏洞被攻击被利用而导致的，这是目前的现状。所以说网络安全的核心问题就是如何解决和防治软件安全漏洞。

没有网络安全，就没有国家安全

网络已经成为大家日常生活中不可或缺的一部分，网络安全和信息安全对整个社会，对我们个人的重要性都是不言而喻的，没有网络安全就没有国家安全。李炼说，维护网络安全是必须要去做的事情，但不是消费者去做，而应该提供软件服务的企业去做。但关于软件本身的安全漏洞防治，由于其本身研发门槛过高，很少有企业或机构具备这样的研发能力。在中科院计算所的支持下，李炼依靠自己多年在软件代码安全漏洞方面深厚的研究经验和团队成员的不懈的努力，终于研发成功了“悟空”这款软件源代码安全漏洞检测工具。“悟空”通过分析软件代码，找到软件中存在的可能被攻击的安全漏洞和弱点网站安全代码，能够有效保护软件安全。

软件源代码检测工具更能从根本上解决网络安全问题

在认知上比较广泛的保护网络安全的方式是杀毒软件，那么跟软件源代码检测又有什么不同呢？李炼说，杀毒软件实际上就是相当于给软件做隔离，把一些我们已知的问题和漏洞屏蔽掉，但总有一些未知的安全漏洞我们无法预防。而软件源代码检测是针对软件本身的基因，也就是代码本身，进行漏洞排查，尽量减少软件安全漏洞，让软件自身足够健康，不易被攻击。在软件上市前，先测一测里面是否有可能被攻击的安全漏洞，可大量减少日后遭到攻击的风险。

对标国外产品，技术和服务才是产品核心

市面上常见较成熟的软件源代码检测工具基本都是国外产品，这些产品大多于2000年前后发布，近年来在技术上没有突破性的创新。李炼坦言，由于技术的局限性，许多产品只能检测到一些相对比较浅表的软件代码安全漏洞问题，而无法检测到跨函数、跨进程等隐藏较深的安全漏洞。但李炼对于软件源代码安全漏洞的研究这十几年从未停止过，如何能让检测更加深入、更加准确，一直是他带领团队研究的核心问题。功夫不负有心人，近年来李炼和他的研究团队在该领域取得了诸多科研成果和重量级奖项。对于下一步的打算，李炼表示一方面中科天齐将更加重视市场推广工作，为更多行业和领域的用户提供软件源代码安全产品和服务；另一方面，持续加强在研发方面的投入，确保产品始终保持技术上的领先。同时，更加重视客户的真实体验，为客户提供便捷、高效、优质的软件代码安全检测产品和服务。

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!